CyberSec Update #23 – Backup nie tylko od święta
CyberSec Update #23 – Backup nie tylko od święta
Przyznaję, że umknął mojej uwadze jeden termin. Mowa o przypadającym 31 marca Światowym Dniu Backupu. Temat jest jednak na tyle istotny, że nie warto odkładać go do przyszłego roku. To dobry moment, aby przypomnieć podstawowe zasady tworzenia kopii zapasowych, które powinny obowiązywać w organizacji nie tylko od święta.
Backup w świetle NIS2 i ustawie o KSC
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, nie posługuje się wprost pojęciem tworzenia kopii zapasowych jako samodzielnym środkiem, który powinien zostać uwzględniony przy wdrażaniu systemu zarządzania bezpieczeństwem informacji (SZBI).
Tworzenie kopii zapasowych należy jednak postrzegać jako element szerszego wymogu dotyczącego planów ciągłości działania. Ich wdrożenie zostało wprost przewidziane w ustawie i stanowi jeden z kluczowych obszarów organizacyjnych w ramach SZBI.
UKSC odnosi się do kopii zapasowych w kontekście wymogów stawianych SZBI dla podmiotu ważnego będącego podmiotem publicznym. W tym zakresie formułowane jest zalecenie wykonywania zapasowych kopii danych, odseparowanych logicznie i fizycznie od danych przetwarzanych w systemach informacyjnych wykorzystywanych do realizacji zadania publicznego.
Backup w zaleceniach Pełnomocnika ds. Cyberbezpieczeństwa
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa w niedawnym komunikacie skierowanym do podmiotów KSC, ze szczególnym uwzględnieniem sektora zdrowia, przedstawił zestaw zaleceń mających na celu ograniczenie ryzyka wystąpienia incydentów oraz minimalizację ich skutków dla ciągłości działania.
W obszarze kopii zapasowych wskazano m.in. na konieczność separacji uprawnień, co w praktyce oznacza uniemożliwienie logowania się do systemu backup z wykorzystaniem kont domenowych.
Zalecanym rozwiązaniem jest stosowanie wyłącznie kont lokalnych dla serwerów backupowych (np. tworzonych bezpośrednio na serwerze) oraz systemów zarządzania. Takie podejście znacząco ogranicza ryzyko eskalacji uprawnień w przypadku kompromitacji konta domenowego.
WORM (Write Once, Read Many)
W kontekście kopii zapasowych warto odrębnie wskazać zasadę WORM (Write Once, Read Many), zgodnie z którą dane po zapisaniu nie mogą być modyfikowane ani usuwane, a jedynie odczytywane.
Przestrzeganie zasady WORM stanowi istotny środek zaradczy w przypadku ataków typu ransomware. Blokada możliwości modyfikacji danych po zapisie powoduje, że nie jest możliwe nadpisanie istniejącego backupu jego zaszyfrowaną wersją.
Inne dobre praktyki w obszarze backupu
Jedną z podstawowych zasad jest wykonywanie co najmniej trzech kopii danych. Dwie z nich powinny zostać zapisane na różnych nośnikach, natomiast jedna kopia powinna znajdować się w innym miejscu niż dane, których dotyczy (tzw. kopia odmiejscowiona).
Równie istotne jest zautomatyzowanie procesu tworzenia kopii zapasowych, co pozwala ograniczyć ryzyko błędów ludzkich. Trzecią zasadą, o której często się zapomina, jest regularne testowanie backupów, czyli sprawdzanie realnej możliwości odzyskania danych.
Dokumentuj proces tworzenia kopii zapasowych
Praktyczne podejście do tworzenia kopii zapasowych jest kluczowe, jednak nie należy zapominać o ogólnej zasadzie dokumentowania procesów w organizacji.
Proces tworzenia kopii zapasowych, aby możliwe było pełne rozliczenie z jego przeprowadzenia, powinien zostać odpowiednio udokumentowany. Składową takiej dokumentacji jest również wskazanie osób oraz funkcji odpowiedzialnych za realizację procedury backupu.
